2020重大网络安全事件盘点 · 政府篇

导读

2020 年,网络安全挑战再度升级,各行业数据泄露事件层出不穷。Risk Based Security(风险基础安全)数据显示,2020 年全球数据泄露总数高达 360 亿,达到历史新高。

微步在线持续密切关注全球网络安全态势,并对 2020 年全球重大安全事件进行了梳理,精选出金融、能源、互联网、工控、政府、医疗、教育等行业的代表性事件,以及疫情相关的重大攻击事件,以便大家了解全球最新安全威胁,及时做好安全加固,防患于未然。

2020 重大安全事件盘点将会按细分行业陆续发布,敬请持续关注。


政府机关是与民生关联最紧密的机构,掌握着大量公民隐私信息,是网络攻击的重灾区之一,而一旦发生网络安全事件,则可能造成十分严重的后果。2020年,许多政府相关网络安全事故是因为内部安全建设和管理存在疏漏,黑客乘虚而入导致。增强政府机构的网络安全建设,加强内部人员的安全培训是当下政府部门网络安全管理的重中之重。

2020年1月 | Konni 组织借2020东京残奥会话题投放木马

2020年1月16日,韩国安全厂商称发现了借助“朝鲜中央委员会全体会议”、“2020年东京残奥会”等话题传播的恶意木马,并根据木马特点判断为 Konni 组织使用。研究发现,此次捕获的两份恶意文档作者均为“Georgy Toloraaya”,内部标准代码页为韩文,投递的木马与 Konni 组织常用木马框架基本一致,且均会通过 FTP 回传窃取数据,因此将此次活动归因为该组织。此外,Unit42 于2020年1月23日公布了 Konni 组织在2019年期间针对美国政府发起的多次钓鱼攻击,攻击手法及投放木马与近期攻击活动吻合。

微步在线点评:

Konni 组织最早于2014年开始活跃,并在2017年被 Cisco 安全团队曝光,主要利用朝鲜地区不断加剧的地缘政治局势为话题投放木马,近期活动较为频繁。

参考链接:

https://blog.alyac.co.kr/2710

2020年2月 | Hamas 组织伪造约会应用程序攻击以色列士兵

以色列国防军发言人透露,以色列国防军和以色列安全局近期联合打击了一起 Hamas 组织针对以色列士兵的网络攻击活动。攻击程序伪装成 GrixyApp、ZatuApp 和 Catch&See 约会应用程序,攻击者在 Facebook、Instagram、WhatsApp 和 Telegram 平台上向以色列士兵发送消息,诱使他们下载恶意程序。一旦下载并执行了恶意程序,它会提示一个错误,说明设备无法支持,应用程序将自动卸载,而实际上应用程序并没有卸载,只是隐藏了图标。该恶意软件收集关键设备信息(IMSI 和电话号码、已安装的应用程序、存储信息),然后将收集到的数据全部发送给 C2 服务器。这些恶意软件还会注册为设备管理员,并请求访问设备的相机、日历、位置、SMS 数据,联系人列表和浏览器历史记录的权限。最危险的是,该恶意软件还具有下载和执行远程 .dex 文件扩展其恶意功能的能力。

在这轮攻击活动中使用的战术、技术和程序(TTP)与以前 APT-C-23 攻击中使用的类似,安全人员最终将其归因为 APT-C-23 组织。

微步在线点评:

  1. Hamas 组织的目标主要集中在中东地区,攻击平台主要包括 Windows 和 Android。后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。

  2. 现在较多的 APT 组织已经具备多平台功能的能力,特别是移动平台的安全建设不够完善,需要系统开发人员、设备制造商、应用程序开发人员共同努力,及时修补漏洞。

参考链接:

https://www.forbes.com/sites/zakdoffman/2020/02/16/terrorist-android-malware-exposed-here-are-the-hamas-apps-that-targeted-israeli-soldiers/#24d1350d23ae

2020年3月 | 多家安全公司披露美方对我国的 APT 活动

2020年3月3日,业界厂商发布报告,称发现了美国中央情报局 CIA 攻击组织(APT-C-39)对中国关键领域长达 11 年的网络渗透攻击,经分析验证,此组织即 Lamberts 组织。3月5日,微步在线发布《CIA 下属网络间谍组织 Lamberts 相关木马分析》。Lamberts 攻击活动跨度从2008年9月至2019年6月,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位遭到不同程度的攻击,受害者主要分布在北京、广东和浙江等地。此外,通过情报关联,发现 CIA 前雇员 Joshua Adam Schulte 曾直接参与研发了网络武器 Vault7,且攻击时间吻合,进一步证明攻击来源为 CIA。

微步在线点评:

  1. 我国一直是网络攻击的主要受害者之一。

  2. Lamberts 又名 Longhorn,是疑似隶属于美国中央情报局的网络间谍组织,该组织使用 Colored Lambert 系列工具开展网络间谍活动,其中部分工具与维基解密披露的 CIA 网络武器库 Vault7 中的一些工具的技术细节完全一致。Lamberts 可能自2008年开始活跃,2019年亦发现了多个新的 Colored Lambert,其中部分攻击涉及我国航空业。

参考链接:

https://mp.weixin.qq.com/s/fvLtqf9z0atCuNoOYg3hAg

2020年6月 | Gamaredon 组织利用新工具继续对乌克兰展开攻击

隶属于俄罗斯安全情报部门的 APT 组织 Gamaredon 近年来一直针对乌克兰境内军、政、法、外交等领域展开攻击,存在明显的军事和政治攻击意图,Gamaredon 一直在原有的技术基础上为攻击的隐蔽性做优化演变,以及为攻击目的需求做工具完善。

微步在线近期监测发现,该组织利用 LNK 方式替换模板注入诱饵文档方式进行植入后门木马,目前已经发现该组织利用该手法以“根据《乌克兰刑法》第368条第3款涉嫌犯罪的通知”、“关于经济安全局副局长勒索贿赂的事实”、“关于勒索事实”、“请求访问公共信息的问题列表”、“在打击国际恐怖主义的斗争中识别和防止威胁的实际措施”等议题疑似向乌克兰的军事、法务、外交等部门展开攻击。此外,监测还发现该组织利用多种编译环境生成功能相似的情报窃取木马来窃取攻击目标的有关情报。

微步在线点评

  1. 微步在线一直对 Gamaredon 组织进行情报监控,Gamaredon 攻击目标基本集中在乌克兰高层政府、乌克兰军队组织和乌克兰东部地区军事部门,存在浓厚的政治、军事意图且目前尚未发现该组织有针对其他国家目标进行攻击。

  2. Gamaredon 组织攻击手法一直相对稳定,从开始的钓鱼邮件投递自解压+VBS 后门木马,到钓鱼邮件投递模板注入诱饵文档+宏病毒+VBS 后门木马/窃取类型木马,再到现在的钓鱼邮件投递 LNK 自动下载+诱饵文档+宏病毒+VBS 后门木马。但近期在监测到的攻击情报中攻击手法突变较大,或许与 InvisiMole 组织与 Gamaredon 组织联合对乌克兰境内攻击目标展开攻击有关。InvisiMole 组织使用的工具集最大的特点在于隐蔽性和情报检测能力,两者联合,Gamaredon 组织在攻击能力和攻击目标以及业务范围都会有较大的提升和改变,从而也加大了对该组织的监控和防御难度。

参考链接:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2800

2020年6月 | DDoSecrets 声称掌握了美国200多个警察部门和执法融合中心的数据

2020年6月,激进组织 Distributed Denial of Secrets(DDoSecrets)声称从美国执法机构和融合中心窃取了 296 GB 被称作 BlueLeaks 的数据文件,这些数据包含了美国200多个警察部门和执法融合中心(Fusion Centers)的报告、安全公告、执法指南等。据推测,某些文件还包含敏感的个人信息,例如姓名、银行账号和电话号码。据称,此次数据泄露事件的始作俑者又是黑客组织“匿名者”。

微步在线点评:

各部门应该加强自身安全能力建设,日常做好外部威胁监控,以期在发生数据泄露事故时能及时预警和止损。

参考链接:

  • https://krebsonsecurity.com/2020/06/blueleaks-exposes-files-from-hundreds-of-police-departments/

  • https://ddosecrets.com/wiki/BlueLeaks

2020年8月 | 白象 APT 组织利用中印关系热点对华发起攻击

2020年8月27日,微步情报局监测发现白象 APT 组织对我国进行网络攻击的鱼叉网络攻击样本。投递诱饵文件名为“中印边境争端.docx”,攻击载荷通过利用 CVE-2017-0261 EPS 漏洞实现恶意软件释放执行,通过白利用侧加载、进程注入等技术之后执行 Badnews 后门特马,对目标用户进行窃密监听。与此同时,白象 APT 组织采用完全一致的攻击手法对巴基斯坦相关军政单位发动定向网络攻击。

微步在线点评:

白象 APT 组织,是一个具有印度国家背景的 APT 组织,主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主,相关攻击活动最早可以追溯到2009年11月。各企业和单位应该加强安全能力建设,尤其在像疫情这类高度敏感时期,各企业和单位应该保持高度敏锐的嗅觉,防止黑客组织的渗透。

参考链接:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2519

2020年9月 | “蔓灵花”对我国开展大规模钓鱼攻击

“蔓灵花”组织自今年年初借疫情对我国相关政企目标发动攻击以来就异常活跃,从7月至今,该组织更是加大攻击规模和攻击频次,有针对性地攻击我国和巴基斯坦的多个组织、政府机构。近期国内安全公司对“蔓灵花”此次大规模攻击进行了披露,与以往的 APT 攻击手法不同,本次采用多种社会工程学攻击手段对目标受害者的邮箱进行钓鱼攻击,针对部分重点目标还会投递伪装成会议文件或软件的恶意载荷。在本次攻击活动中还发现,“蔓灵花”首次利用 LNK 文件作为攻击入口,从远程获取 MSI 文件执行,最终释放执行 .NET 恶意软件窃取受害者机器敏感信息。

本次被模仿域名进行网站钓鱼的目标主要为:知名邮件供应商、政府部委、高校科研院所、重点工业单位,以及部分国外单位。在大范围攻击之前,攻击者会选定部分容易攻破的邮箱进行诸如暴力破解、伪装目标网站钓鱼等手段窃取账户和密码。拿到受害者的邮箱登录信息后,攻击者会通过这些失陷的邮箱给受害者的联系人群发极具欺骗性的钓鱼邮件,新一轮攻击由此开启并扩大攻击范围。由此次攻击活动可以看出,“蔓灵花”正在定向瞄准大型机构,运用社会工程学开展长时间的大规模钓鱼攻击行动,其攻击手段狡猾多变,攻击套路难以识别,一旦攻击成功致使机密数据资料泄漏,将会给政府机构、企业乃至个人都带来严重的损失。

微步在线点评:

蔓灵花(APT-C-08)是一个拥有南亚地区政府背景的 APT 组织,近几年来持续对南亚周边国家进行 APT 攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织,是目前较活跃的针对我国境内目标进行攻击的境外 APT 组织之一。近期南亚局势紧张,其攻击活动频次增加,微步在线提醒各企业用户加强员工安全意识,提高企业安全防御力度,尽可能减少因这些恶意黑客组织攻击带来的损失。

参考链接:
https://mp.weixin.qq.com/s/KsEyD0HpKMcuZbBcYADpAA

2020年10月 | 俄罗斯 APT 组织 Berserk Bear 窃取美国政府网路数据

FBI 和 CISA 联合发布警报称,俄罗斯 APT 组织 Berserk Bear 攻击美国政府并窃取了数据。Berserk Bear又称 Energetic Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti、Koala,至少从2020年9月开始,以美国数十个州、地方、部落和领土(SLTT)的政府和航空网络为目标,试图入侵多个 SLTT 组织,已成功入侵网络基础设施。截至2020年10月1日,至少从两台受害者服务器中窃取了数据,包括敏感的网络配置和密码、标准操作程序(SOP)、IT 指令、供应商和采购信息、打印访问徽章。但目前尚无任何信息表明该 APT 组织有意破坏了任何航空、教育、选举或政府运作。

微步在线点评:

Berserk Bear 被国外安全公司叫做 Dragonfly 2.0,至少自2016年3月起就开始对美国多个关键基础设施部门进行攻击。应对高级威胁,各部门和企业可考虑引入威胁情报对网络进行整体监控,发现威胁快速响应。

参考链接:

https://us-cert.cisa.gov/ncas/alerts/aa20-296a

2020年10月 | 美国1.86亿选民数据在暗网被黑客出售

最近,美国大选投票开始。在围绕选举进行的虚假信息调查中,Trustwave SpiderLabs 团队发现了包含美国选民和消费者的详细信息的庞大数据库在多个黑客论坛上出售。美国选民数据库的卖方声称该数据库包含1.86亿条记录,如果属实,则意味着它包含了美国几乎所有选民的信息。在选民数据库中找到的信息可用于进行有效的社会工程骗局和散布虚假信息可能会影响选举,尤其是在摇摆州。据称,美国消费者数据库包括2.45亿条记录,几乎相当于美国的全部人口。

微步在线点评:

泄露的数据可能被用作搭建“社工库”,也可能会被不法分子用来诈骗,容易给社会造成不良影响。政府机构和企业应该加强自身安全能力建设,加强外部威胁监控,以期在发生数据泄露事故时能及时预警和止损。

参考链接:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/massive-us-voters-and-consumers-databases-circulate-among-hackers/

2020年11月 | 美国被曝监视丹麦的政府部门和国防工业

据丹麦广播电视台报道,丹麦防务情报局(FE)内部人员在2015年左右提交的一系列保密报告显示,美国国家安全局(NSA)利用与丹麦的情报合作,对丹麦的财政部、外交部等政府部门以及军工企业等机构实施监控,对途经丹麦通讯光缆上的隐私数据和信息进行搜集,还对丹麦的军机采购计划进行了非法的情报搜集。相关消息人士还称,除了针对丹麦进行了此类间谍活动之外,美国国安局还针对包括瑞典、德国、法国、挪威乃至荷兰在内的丹麦几个最亲密的邻国进行间谍活动。据报道,此次事件可能跟美国的 Xkeyscore 计划有关,该项目意在最大范围收集互联网数据,包括电子邮件、网站信息、搜索和聊天记录等等。

微步在线点评:

一直以来,美国肆意在全球范围内监控监听他国,同时却指责他国是网络威胁的主要来源,无疑是“贼喊捉贼”。

参考链接:

https://www.dr.dk/nyheder/indland/hemmelige-rapporter-usa-spionerede-mod-danske-ministerier-og-forsvarsindustri

2020年11月 | 加拿大圣约翰市遭到大规模网络攻击,IT 基础设施瘫痪

近日,加拿大圣约翰市遭到大规模网络攻击,整个市政 IT 基础设施遭到严重破坏。网络攻击导致整个市政网络关闭,包括城市网站、在线支付系统、电子邮件和客户服务应用程序。专家认为,此次袭击是由勒索软件团伙实施的,预计该市网络可能需要数周时间才能完全恢复运行。目前尚不清楚是哪个勒索软件家族发起的攻击。针对市政的勒索软件攻击变得相当频繁,美国已有多个城市遭受类似的攻击。

微步在线点评

市政 IT 基础设施正在遭受愈来愈多的网络攻击,其中最具代表的是勒索软件。市政 IT 基础设施的故障会影响整个地区的民生和经济,对其安全状况应引起足够重视。

参考链接:

https://securityaffairs.co/wordpress/111259/cyber-crime/saint-john-cyber-attack.html


(0)

相关推荐